RuSIEM

• Олеся Шелестова, CEO RuSIEM• IT-Task

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

2

Технические задачи• Сбор данных, необходимых для дальнейшего анализа системой• До-получить данные с помощью сопутствующих инструментов (сканеры VM, фиды, агент,

span)• Обеспечить целостность, доступность, конфиденциальность собранных данных• Обеспечить обнаружение основных распространенных угроз (из коробки)• Предоставить возможность кастомизации пользователем механизмов обнаружения угроз• Предоставить пользователю возможность мониторинга в режиме реального времени• Предоставить пользователю инструменты для оперативного расследования инцидента• Обнаружение угроз в режиме реального времени• Уведомление пользователя об обнаруженных угрозах посредством встроенного workflow и

основных транспортов• Обеспечение без сигнатурных механизмов обнаружения угроз (модели, накопленная

статистика, эталоны, risk-based, aggregation)

Решаемые кейсы• Приоритезация инцидентов от СЗИ и снижение ложных срабатываний• Аудит аутентификации и авторизации• Аудит изменений конфигураций• Выявление НСД• Аудит работоспособности СЗИ, ОС и приложений• Обнаружение сетевых атак• Аудит действий в ОС, БД и приложениях• Мониторинг сетевой активности• Без сигнатурное обнаружение инцидентов

Кейсы (более расширенно)• Authentication tracking

• Detection of Possible Brute Force Attack

• Compromised- and infected-system tracking; malware detection

• Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts

• Monitoring for suspicious outbound connectivity

• Tracking system changes

• Tracking of Web application attacks

• Prioritize incident

• Geo-Location Based Access (when no legacy connection in this country found)

• Geo-Location Based Account Monitoring

• Cyber attacks from malicious sources

• Continuous Risk Monitoring (events)

• Privileged Account Monitoring

• Advanced Threat Detection (analyzes these events for indicators of advanced threats)

• Application Defense Check

• Expected Host/Log Source Not Reporting

• Unexpected Events Per Second (EPS) from Log Sources

Кейсы (2)• Top malicious DNS requests from user.

• Incidents from users reported at DLP, spam filtering, web proxy, etc.

• Transmission of sensitive data in plain text.

• 3rd party users network resource access.

• Resource access outside business hours.

• Sensitive resource access failure by user.

• Privileged user access by resource criticality, access failure, etc.

• Unusual network traffic spikes to and from sources.

• Endpoints with maximum number of malware threats.

• Top trends of malware observed; detected, prevented, mitigated.

• Brute force pattern check on Bastion host.

• Top Web application Attacks per server.

• Malicious SQL commands issued by administrator.

• Applications suspicious performance indicator, resource utilization vector.

• Application Platform (OS) patch-related status.

• Web attacks post configuration changed on applications.

ОС под сервер OVF/OVA template с предустановленной системой

Собственный агент +

Сбор одним агентом с нескольких источников +

Модульный агент +

Возможность подключения кастомных источников +

Необходимость в 3th-party лицензиях нет необходимости

Производительность системы до 7к на ядро процессора, до 100к EPS на ноду

Предельная масштабируемая производительность Отсутствуют ограничения

Масштабируемые компоненты системы +

Сбор данных через различные учетные записи +

Разграничение доступа к интерфейсу ролевая модель

Аутентификация через LDAP +

Разграничение доступа к наборам данных (уязвимости, группы источников, события) в ближайших планах

Корреляция RBR +

Интерпретация сути событий в понятный читаемый формат +

Единая нормализация событий для любых источников +

Кастомизация полей событий +

Приоритезация по рискам симптоматика, аналитика

Приоритезация по ассетам в ближайших планах

Расширенная аналитика уже частично пристутствует. В ближайших планах

Встроенное workflow +

Отчеты в ближайших планах

Vulnerability Management в ближайших планах

Автоматическое обновление системы и правил +

Кастомизация дашборда +

Кастомизация правил корреляции RBR пользователем +

Обогащение событий метаинформацией (geoip, risk, priority, фиды) +

Транспорты windows агента• Windows event log (локально, удаленно, подписка)• MS SQL• Mysql• Oracle• Ftp/sftp/ftps• File log• 1С 8.3

Транспорты on-box агента

beats, couchdb, drupal, elasticsearch, ganglia, gelf, generator, graphite, github, heartbeat, heroku, http, http_poller, irc, imap, jdbc, jmx, kafka, log4j, lumberjack, meetup, pipe, puppet_facter, relp, rss, rackspace, rabbit mq, redis, salesforce, snmptrap, stdin, sqlite, s3, sqs, stomp, syslog, tcp, twitter, unix, udp, varnishlog, wmi, websocket, xmpp, zenoss, zeromq, …

Какие инструменты предоставляем• Кастомизируемые:• Дашборды• Правила корреляции• Симптоматика• Представления для мониторинга и форенсики• Фиды

• Аналитика по агрегатам симптоматики• *прочие инструменты аналитики

В самых ближайших планах• Инвентаризация активов• Интеграция с VM/CMDB• Nmap+

• Continuous monitoring• Динамическое обновление ассетов в режиме реального времени из

событий и траффика• Динамическое изменение данных об уязвимостях в режиме реального

времени

• Расширенная аналитика• Расширенная корреляция

Дашборд

Симптоматика

Корреляция RBR (rule based reasoning)

Workflow

Транспорты windows агента

Ролевая модель доступа

Лицензирование• Отсутствуют ограничения по количеству данных (EPS/суточному

объему и прочее)• Лицензируется по-компонентно (коллектор, нормализация,

корреляция, аналитика)• Цены в 3-5+ раз ниже основных топ-10 решений

22

Контактная информация:Инфо: support@rusiem.comОлеся Шелестова oshelestova@rusiem.comМаксим Степченков m.stepchenkov@it-task.ru

СПАСИБО ЗА ВНИМАНИЕОстались вопросы?

Обращайтесь!

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru